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PROCEDE ET DISPOSITIF DE SECURISATION DE DONNEES POSTALES. 

(§) Procede de securisation de donnees postales entre 
un dispositif de comptabilisation d'affranchissement (10) et 
un dispositif d'impression numerique a usage general (12), 
caracterise en ce qu'il comporte les etapes suivantes: 

- a) generation de donnees d'affranchissement dans le 
dispositif de comptabilisation, 

- b) generation d'une signature numerique initiale a partir 
d'une partie determinee de ces donnees d'affranchisse- 
ment, 

- c) transmission en clair des donnees d'affranchisse- 
ment et transmission de la signature numerique initiale vers 
le dispositif d'impression numerique a usage general, 

- d) reception des donnees d'affranchissement et de la 
signature numerique initiale, 

- e) verification de la signature numerique initiale re?ue 
par Elaboration d'une nouvelle signature numerique a partir 
de la partie determinee des donnees d'affranchissement re- 
vues et comparaison de cette nouvelle signature numerique 
avec la signature numerique initiale repue, et 

- f) impression de Tempreinte postale a partir des don- 
nees d'affranchissement regues en cas de resultat positif de 
ladite comparaison. 
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Domaine de Tinvention 

La presente invention conceme le domaine du traitement de courrier 
et plus particulierement celui des systemes d'affranchissement modulaires 
mettant en oeuvre des imprimantes numeriques a usage general. 

Art anterieur 

Dans les systemes modulaires d'affranchissement postal, les 
dispositifs de comptabilisation des affranchissements et d'impression des 
empreintes postales, qui etaient disposes avec les systemes classiques (les 
machines a affranchir traditionnelles) dans xme enceinte securisee et 
plombee pour interdire tout acces non autorise, sont separes Tun de Tautre 
et le dispositif d' impression est generalement simplement constitue d'une 
imprimante numerique a usage general, comme par exemple une 
imprimante laser ou bien a jet d'encre. La demande de brevet americain 
n° 562268 de la demanderesse aux noms de CShah et K.Robertson decrit 
un tel systeme d'affranchissement modulaire. 

Toutefois, dans ce systeme ou le dispositif d'impression est eloigne 
du dispositif de comptabilisation, il existe un risque tres important de 
prelevement des donnees echangees entre les deux dispositifs. II pent en 
resulter une falsification des valeurs d'affranchissement avec comme 
consequence un manque a gagner considerable pour T administration 
postale. 

Une solution a ce probleme est donnee par le brevet US 5 583 779 
qui propose un procede pour securiser la liaison entre les dispositifs de 
comptabilisation et d' impression en rendant inintelligible les donnees 
echangees entre ces deux dispositifs au moyen d'algorithmes de chiffrement 
classiques, symetrique a cles secretes tel que le DES (Data Encryption 
Standard) ou asymetrique tel que le RSA (Rivest-Shamir-Adelman) par 
exemple. 

Ce procede presente malheureusement deux inconvenients 
particulierement importants qui en limite sa diffusion. Tout d'abord, 
certains de ces algorithmes qui font appel a des cles de chiffrement 
comportant un nombre de caracteres tres eleve sont consideres par certains 
Etats (par exemple les Etats Unis d'Ameriques) comme des armes de guerre 
et en consequence sont interdits a I'exportation. Ensuite, dans d'autres Etats 
(par exemple la France), ces algorithmes sont soumis a une autorisation 
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prealable du gouvemement, ce qui n'est pas sans poser quelques difficultes 
au niveau de la commercialisation des materiels les incorporant. Enfm, avec 
les algorithmes symetriques se pose le probleme particulierement complexe 
de la gestion (I'echange) des cles secretes de chiffrement. 



Definition et objet de I'invention 

Aussi, la presente invention a pour objet un procede qui pemiette un 
transfert d' informations entre le dispositif de comptabilisation 
d'affranchissement et le dispositif d' impression des empreintes postales qui 
soil impermeable aux interceptions non autorisees et pallic les inconvenients 
precites, c'est a dire notamment qui puisse etre mis en oeuvre sans aucune 
autorisation de quelque type que ce soit et sans gestion complexe de cles de 
chiffrement. 

Ce but est atteint par un procede de securisation de donnees postales 
entre un dispositif de comptabilisation d'affranchissement et un dispositif 
d'impression numerique a usage general, caracterise en ce qu'il comporte 

les etapes suivantes : 

- dans le dispositif de comptabilisation 

- a) generation de donnees d'affranchissement, 

-b) generation d'une signature numerique initiale a partir d'une 
partie determinee de ces donnees d'affranchissement, 

-c) transmission en clair des donnees d'affranchissement et 
transmission de la signature numerique initiale vers le dispositif 
d'impression, 

- dans le dispositif d'impression numerique a usage general 

- d) reception des donnees d'affranchissement et de la signattire 
numerique initiale, 

-e) verification de la signature numerique initiale re?ue par 
elaboration d'une nouvelle signamre numerique a partir de la partie 
determinee des donnees d'affranchissement repues et comparaison de cette 
nouvelle signature numerique avec la signature numerique initiale regue, et 

-f) impression de I'empreinte postale a partir des donnees 

d'affranchissement reQues en cas de resultat positif de ladite 

comparaison. 

Avec ce procede, 11 n'est plus necessaire de chiffrer les donnees 
d'affranchissement qui peuvent maintenant etre transmises en clair, la 
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validite de ces donnees etant garantie par la seule signature numerique qui 
les accompagne. Ce precede qui ne fait pas appel a un echange de cles 
secretes evite en outre les inconvenients de Tart anterieur lies a ce transfert 
entre le dispositif de comptabilisation d'affranchissement et le dispositif 

5 d' impression numerique. 

Dans un mode de realisation avantageux, I'etape de generation de 
signature comporte ime etape prealable d' elaboration, a partir d'un 
protocole de hachage a sens unique applique a ladite partie determinee des 
donnees d'affranchissement, d'un message reduit a partir duquel est 

10 elaboree ladite signature numerique initiale. L'etape de verification de 
signature comporte alors une etape prealable d'elaboration, a partir dudit 
protocole de hachage a sens unique applique a ladite partie detenninee des 
donnees d'affranchissement regues, d'un nouveau message reduit a partir 
duquel est elaboree ladite nouvelle signature numerique. 

15 De preference, la partie determinee des dormees d'affranchissement 

comportent au moins les donnees alphanumeriques suivantes : montant 
d'affranchissement, date de depot, numero sequentiel de transaction. 

Les donnees d'affranchissement delivrees par le moyen de generation 
comportent des donnees graphiques fixes qui sont transmises directement du 

20 dispositif de comptabilisation d'affranchissement au dispositif d'impression 
numerique pour etre imprimes avec les autres dormees d'affranchissement 
sans proceder a I'elaboration d'une signature numerique de ces donnees 
fixes. Dans une variante de realisation, ces donnees graphiques fixes 
peuvent etre elaborees directement au niveau du dispositif d'impression 

25 numeriques et soni imprimes avec les autres donnees d'affranchissement. 

L' invention concerae egalement un systeme d'affrsuichissement pom- 
la mise en oeuvre de ce procede, lequel comporte au moins un dispositif 
d'impression numerique a usage general pour delivrer des enveloppes et/ou 
des etiquettes affranchies et un dispositif de comptabilisation 

30 d'affranchissement relie a distance de ce dispositif d'impression numerique. 
Ce dispositif d'impression numerique a usage general est constitue par une 
imprimante laser ou par une imprimante a jet d'encre. 

Le systeme d'affranchissement peut comporter en outre une plieuse/ 
insereuse pour plier et inserer des documents dans les enveloppes 

35 affranchies delivrees par le dispositif d'impression numerique a usage 
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general. II peut egalement comporter une station de restauration de credit 
reliee a distance au dispositif de comptabilisation d'affranchissement. 

Br^ve description des dessins 

^D'autres--caracteristi.ques_ej_ava^tages^je^ 

ressortiront mieux de la description suivante, faite a titre indicatif et non 
limitatif, en regard des dessins annexes, sur lesquels: 

- la figure 1 montre de fa9on schematique les differents constituants d'un 
systeme d'affranchissement modulaire, et 

- ia figure 2 detaille les moyens de securisation des dispositifs de 
comptabilisation et d'impression du systeme de la figure 1 . 

Description detaillee d'un mode de realisation preferentiel 

La figure 1 illustre de fa^on tres schematique un systeme 
d'affranchissement modulaire. Ce systeme est constitue de deux elements 
principaux : un dispositif de comptabilisation d'affranchissement de securite 
(Secure Metering device SMD) 10 et un dispositif d'impression nummque 
12. Bien entendu, une plieuse/insereuse 14, une balance electronique 16 et 
une station de restauration de credit 18 pourront completer de maniere 
connue ces deux elements pour former un systeme complet de preparation 
de courrier. 

Le SMD 10 realise les fonctions de comptabilisation 
d'affranchissement generalement associees a une machine a affranchir 
traditionnelle. II communique notamment au dispositif d'impression 
numerique les informations d'affranchissement necessaires a une validation 
de la transaction et a une impression de I'empreinte postale. Ce dispositif 
d'impression 12 est avantageusement une imprimante numerique 
conventionnelle a usage general, par exemple une imprimante laser ou une 
imprimante a jet d'encre. 

La communication de ces informations est toutefois susceptible 
d'etre interceptee par des personnes non autorisees en vue de prelever et de 
falsifier le contenu de ces inforaiations. Pour eviter cela, il est propose selon 
I'invention non plus de chiffrer ces informations (c'est a dire d'assurer une 
fonction de confidentialite en les rendant inintelligibles) comme I'enseignait 
I'art antcrieur mais seulement d'authentifier ces informations et de s'assurer 
de leur integrite. 
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L'authentification de messages se distingue du chiffrement de 
messages en ce que contrairement a ce demier il pemiet leur transmission en 
clair et surtout il ne necessite pas d'autorisation specifique et est done 
totalement libra d'emploi, 
5 La figure 2 montre un exemple preferentiel de realisation de cette 

fonction d'authentification des donnees transitant entre le dispositif de 
comptabilisation d'affranchissement 10 et le dispositif d'impression 
numerique des empreintes postales 12. 

Le dispositif de comptabilisation 10 comporte bien entendu un 
10 moyen de generation les informations ou donnees d'affranchissement 110. 
Par donnees d'affranchissement on entend classiquement les donnees 
alphanumeriques conune le montant de raffranchissement, les differentes 
valeurs des comptexxrs d'affranchissement (compteur ascendant et compteur 
descendant), la date de T envoi, les numeros postaux du dispositif de 
15 comptabilisation et du client, le code de Tetablissement postal de depot, le 
numero sequenliel de transaction, eventuellement I'heure d'envoi, la 
categorie de courrier, etc, et les donnees graphiques comme la partie fixe de 
rempreinte postale (y compris I'estampille ou logo de T administration 
postale ou une flamme publicitaire). II peut etre note que Tadresse de 
20 destination peut avantageusement etre consideree comme une donnee 
d'affranchissement. 

Selon rinvention, le dispositif de comptabilisation comporte en outre 
un moyen de generation de signature 1 12 relie au moyen de generation des 
donnees d'affranchissement 110 et destine a elaborer une signature 
25 numerique a partir de tout ou partie des donnees alphanumeriques 
d'affranchissement. L'elaboration de la signature est effectuee au moyen 
d'algorithmes de signature connus en soi comme le DSA (Digital Signature 
Algorithm), les precedes de signature ElGamal ou Schnorr par exemple. 
Pour le calcul de ces algorithmes, ces techniques reposent sur I'utilisation 
30 d'une cle privee specifique a un dispositif de comptabilisation 
d'affranchissement donne et d'une cle publique associee mais accessible a 
tous les dispositifs d'impression numerique. Avec ces techniques, le 
probleme de I'echange des cles ne se pose plus puisque seul le dispositif de 
comptabilisation d'affranchissement dispose d'une cle secrete et que Tenvoi 
35 des donnees s'effectue sans echange prealable d'information (notanraient de 
cles). 
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Un moyen de transmission 114 relie a la fois au moyen de generation 
de donnees d'affranchissement 1 10 et au moyen de generation de signature 
112 est prevu pour transmettre au dispositif d'impression 12 a la fois les 
donnees d'affranchissement et la signature numerique correspondante. Les 
-donnees-d'affranchissement sont-transmises en-clair-(iLs!agit_des_donnee.s 

graphiques et au moins une partie des donnees alphanumeriques, comme le 
montant d'affranchissement ou la date de depot par exemple) et done 
parfaitement lisibles par I'utilisateur, la signature numerique etant par 
contre un ensemble de caracteres alphanumeriques (par bloc de 64 bits en 
mode DSA par exemple) sans signification particuliere. 

Le dispositif d'impression numerique 12 comporte un moyen de 
reception 120 destine a recevoir les informations (donnees 
d'affranchissement plus signature) transmises par le dispositif de 
comptabilisation d'affranchissement 10 et un moyen de verification de 
signature 122 relie a ce moyen de reception pour valider les donnees 
d'affranchissement re5ues. Ce moyen de verification de signature comporte 
tout d'abord un moyen pour elaborer une nouvelle signature numerique a 
partir de ces donnees (en pratique a partir seulement d'une partie des 
donnees alphanumeriques d'affranchissement ; bien entendu la meme partie 
que celle ayant servie a I'elaboration de la signature initiale) par application 
du meme algorithme de signature que celui ayant permis I'elaboration de la 
signature numerique initiale dans le dispositif de comptabilisation 
d'affranchissement 10 (mais cette fois au moyen de la cle publique). 11 
comporte ensuite un moyen pour comparer cette nouvelle signature a celle 
regue par le moyen de reception 120 directement du dispositif de 
comptabilisation d'affranchissement et pour, en cas d'identite, generer un 
signal de validation pour un moyen de commutation 124 relie au moyen de 
reception 120 et assurant un aiguillage des donnees d'affranchissement 
repues vers des moyens d'impression de I'empreinte postale 1 26. 

La mise en oeuvre du procede selon I'invention est des lors 
particulierement simple. L'algorithme de signature est utilise avec la cle 
privee du dispositif de comptabilisation pour signer des donnees 
d'affranchissement determinees. De preference, on adopte au moins les 
donnees suivantes : montant d'affranchissement, date de depot, numero 
sequentiel de transaction. Le resultat de cette signamre est envoye au 
dispositif d'impression avec les donnees elles-memes. Le dispositif 
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d'impression utilise a son tour ralgorithme de signature avec cette fois la 
cle publique associee pour verifier la signature et valider les donnees re9ues. 
Ce precede est bien meilleur que le seul chiffrement dcs donnees. En effet, 
la signature est infalsifiable car la cle privee est specifique a un dispositif de 
comptabilisation d'affranchissement donne. Ensuite, la signature est 
authentique car la verification par le dispositif d'impression est effectuee 
par la cle publique associee a la cle privee de I'expediteur et toute 
falsification ne peut qu'aboutir a une absence de reconnaissance de la 
signature. Enfm, la signature n'est pas reutilisable car elle est fonction des 
donnees envoyees qui sont distinctes pour chaque article de courrier 
(datation, numero sequentiel). 

Une variante de ce mode de realisation preferentiel est illustree au 
niveau de cette figure 2 par des traits en pointilles. Dans cette variante, les 
donnees fixes de I'empreinte postale (par exemple le symbole graphique 
representant I'estampille de 1' administration postale : un aigle pour la poste 
americaine) qui ne servent pas a I'elaboration de la signature sont adressees 
directement au moyen de transmission 1 14 du dispositif de comptabilisation 
d'affranchissement 10 qui les delivrent au moyen de reception 120 du 
dispositif d'impression numerique 12 pour etre integrees au niveau d'un 
moyen d'adjonction 128 (dispose entre le moyen de conunutation 124 et le 
moyen d'impression 126) aux autres donnees d'affranchissement validees 
par le moyen de verification de signature 122. Dans une autre variante, ces 
donnees fixes sont elaborees directement dans le dispositif d'impression 
numerique 12. 

Bien entendu, la presente invention ne se limite pas au seul mode 
preferentiel de realisation decrit et des autres variantes ou complements 
peuvent etre envisages sans sortir du cadre de I'invention. Notamment, avec 
le procede de signature DSA, on peut constater que la longueur de la 
signature numerique est deux fois plus importante que celle des donnees a 
signer. Une solution a ce probleme consiste a elaborer prealablement a la 
signature numerique, a partir d'un protocole de hachage a sens unique, par 
exemple issu du Secure hash standard (SHS) connu en soi, un message 
reduit (avantageusement sur 160 bits) qui servira de donnees de base pour 
I'elaboration de la signattire telle que decrit precedemment. A la reception, 
ce message reduit est determine a nouveau a partir du meme protocole 
applique cette fois aux donnees d'affranchissement re5ues et une nouvelle 
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signature est alors elaboree a partir du message reduit obtenu. Le processus 
de verification de la signature est ensuite poursuivi comme precedemment. 
De meme, il peut etre prevu au niveau du dispositif de comptabilisation 
d'affranchissement 10 des moyens de generation de code barres pour 
_transmettreja_signatm:e jpus hjonne^un code^ba^es^es de_ 
reception de code barres etant alors prevus au niveau du dispositif 
d'impression numerique 12. 
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REVENDICATIONS 

1 . Precede de securisation de donnees postales entre un dispositif 
de comptabilisation d'affranchissement (10) et un dispositif d'impression 
numerique a usage general (12), caracterise en ce qu'il comporte les etapes 
suivantes : 

- dans le dispositif de comptabilisation 

- a) generation de donnees d'affranchissement, 

-b) generation d'une signature numerique initiale a partir d'une 
partie determinee de ces donnees d'affranchissement, 

-c) transmission en clair des donnees d'affranchissement et 
transmission de la signature numerique initiale vers le dispositif 
d'impression, 

- dans le dispositif d'impression numerique a usage general 

-d) reception des donnees d'affranchissement et de la signature 
numerique initiale, 

-e) verification de la signature numerique initiale re9ue par 
elaboration d'une nouvelle signature numerique a partir de la partie 
determinee des donnees d'affranchissement revues et comparaison de cette 
nouvelle signature numerique avec la signature numerique initiale regue, et 

-f) impression de I'empreinte postale a partir des donnees 

d'affranchissement repues en cas de resultat positif de ladite 

comparaison. 

2. Procede selon la revendication 1 , caracterise en ce que I'etape 
de generation de signature comporte une etape prealable d' elaboration, a 
partir d'un protocole de hachage a sens unique applique a ladite partie 
determinee des donnees d'affranchissement, d'un message reduit a partir 
duquel est elaboree ladite signature numerique initiale. 

3 Procede selon la revendication 2, caracterise en ce que I'etape 
de verification de signature comporte une etape prealable d'elaboration, a 
partir dudit protocole de hachage a sens unique applique a ladite partie 
determinee des donnees d'affranchissement repues, d'un nouveau message 
reduit a partir duquel est elaboree ladite nouvelle signature numenque. 

4. Procede selon la revendication 1, caracterise en ce que ladite 
partie determinee des domiees d'affranchissement comportent au moins les 



• 



2768534 

10 



10 



15 



20 



donnees alphanumeriques suivantes : montant d'affranchissement, date de 
depot, numero sequentiel de transaction. 

5. Precede selon la revendication 1 . caracterise en ce que lesdites 
donnees d'affranchissement delivrees par le moyen de generation (110) 

-comportent des donnees-graphiques_fixes_qui_^sgnt tra^^^^^^ 
dispositif de comptabilisation d'affranchissement (10) au dispositif 
d'impression numerique (12) pour etre imprimes avec les autres domiees 
d'affranchissement sans proceder a I'elaboraticn d'une signature numenque 

de ces donnees fixes. 

6. Procede selon la revendication 1, caracterise en ce que lesdites 
donnees d'affranchissement comportent des donnees graphiques fixes qui 
sont elaborees directement au niveau du dispositif d'impression numenque 
(12) et sont imprimes avec les autres donnees d'affranchissement. 

7. Systeme modulaire d'affranchissement postal mettant en 
ceuvre Ic procede selon I'une quelconque des revendications 1 a 6 
comportant au moins un dispositif d'impression numerique a usage general 
(12) pour delivrer des enveloppes et/ou des etiquettes affranchies et un 
dispositif de comptabilisation d'affranchissement (10) relie a distance de ce 
dispositif d'impression numerique (12). 

8 Systeme selon la revendication 7, caracterise en ce que ledit 
dispositif d'impression numerique a usage general est constitue par une 
imprimante laser ou par une imprimante a jet d'encre. 

9 Systeme selon la revendication 7, caracterise en ce qu'il 
comport^e en outre une plieuse/ insereuse (14) pour plier et inserer des 
documents dans les enveloppes affranchies delivrees par le dispositif 
d'impression numerique a usage general (12). 

10 Systeme selon la revendication 7, caracterise en ce qu'il 
comporte en outre une station de restauration de credit (18) reliee a distance 
au dispositif de comptabilisation d'affranchissement (10). 
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